Juridisch — onderdeel van de Algemene Voorwaarden
Verwerkersovereenkomst (DPA)
1. Partijen
Verwerkingsverantwoordelijke (klant): de ZZP'er, eenmanszaak of rechtspersoon die Boekhoudbaar gebruikt voor zijn administratie en aan wie persoonsgegevens van derden (klanten, leveranciers, contacten) worden verwerkt.
Verwerker (Boekhoudbaar): Hoven Strategy & Solutions, KvK 87254697, gevestigd te Utrecht, e-mail info@boekhoudbaar.nl.
2. Doel en aard van de verwerking
Boekhoudbaar is een softwareproduct dat draait in jouw eigen Google Drive. Wij verwerken zelf geen persoonsgegevens van jouw klanten — die data leeft uitsluitend in jouw Google-spreadsheet, waar jij toegangsbeheer over voert. Boekhoudbaar treedt op als verwerker uitsluitend voor:
- Licentievalidatie (e-mailadres + licentiesleutel, opgeslagen op centrale licentieserver)
- Eventuele support-verzoeken die jij vrijwillig met ons deelt
- Servicemails (welkomst, herinneringen, updates) verzonden via Brevo (sub-verwerker)
- Betalingsverwerking via Mollie (sub-verwerker) bij aanschaf
De boekhoudgegevens — klantnamen, factuurbedragen, bankafschriften, BTW-gegevens — leven uitsluitend in jouw Google-account. Wij hebben daar geen toegang toe.
3. Categorieën van persoonsgegevens
Beperkt tot de gegevens die via onze servers passeren:
- Identificatiegegevens: naam, e-mailadres, KvK-nummer (van de klant van Boekhoudbaar)
- Transactiegegevens: licentiesleutel, aankoopdatum, IP-adres bij activatie
- Servicegegevens: support-correspondentie, klikgedrag in nieuwsbrief (alleen bij opt-in)
Wij verwerken NIET: facturen, klantenlijsten, bankgegevens of overige boekhoudgegevens van jouw klanten. Deze blijven exclusief in jouw Google Drive.
4. Categorieën van betrokkenen
- De klant van Boekhoudbaar (jij, als ZZP'er of MKB-ondernemer)
- NIET: jouw klanten of leveranciers (die data leeft alleen in jouw Drive)
5. Beveiligingsmaatregelen (TOMs)
Conform AVG art. 32 hanteren wij passende technische en organisatorische maatregelen:
Technisch
- TLS 1.3-encryptie voor alle data-in-transit naar onze servers
- Encryptie at rest via Google Workspace (Google's standaard AES-256)
- Cloudflare WAF + DDoS-bescherming op alle publieke endpoints
- HMAC-SHA256-validatie op licentie-tokens (constant-time vergelijking, replay-protection 5 min)
- Audit-log van alle verwerkingen, append-only, bewaard minimaal 7 jaar (art. 52 AWR)
- Backups: dagelijks via Google Workspace, retentie 30 dagen
Organisatorisch
- Toegang tot productie-systemen alleen voor de verwerkingsverantwoordelijke (Sam Hoven)
- 2FA verplicht voor alle administratieve accounts (Google, Cloudflare, Mollie, Brevo)
- Secrets-management via 1Password met emergency access voor continuïteit
- Logging van alle administratieve handelingen
- Datalek-procedure: melding aan klant binnen 24u, aan AP binnen 72u
6. Sub-verwerkers
Wij maken gebruik van de volgende sub-verwerkers. Door deze DPA te aanvaarden geef je vooraf toestemming voor onderstaande sub-verwerkers. Bij toevoeging van een nieuwe sub-verwerker informeren wij je vooraf via e-mail.
| Sub-verwerker | Doel | Locatie | Garanties |
|---|---|---|---|
| Google Ireland Ltd. (Workspace) | Hosting jouw Spreadsheet (jouw eigen Drive) | EU (Ierland) | EU-VS Data Privacy Framework gecertificeerd, ISO 27001/27018, eigen DPA Google |
| Cloudflare Inc. | CDN, WAF, edge-compute voor licentieserver | EU (Frankfurt + Amsterdam edges) | EU-VS Data Privacy Framework, eigen DPA Cloudflare, ISO 27001 |
| Mollie B.V. | Betalingsverwerking eenmalige aankoop | EU (Amsterdam) | PSD2-vergunning DNB, eigen DPA Mollie, ISO 27001 |
| Sendinblue SAS (Brevo) | Transactionele en marketing-e-mails | EU (Frankrijk) | Eigen DPA Brevo, ISO 27001, RGPD-compliant |
7. Bewaartermijnen
- Licentiegegevens: zolang de licentie actief is + 7 jaar daarna (art. 52 AWR fiscale bewaarplicht)
- Support-correspondentie: 24 maanden na laatste contact
- Audit-log: minimaal 7 jaar (art. 52 AWR)
- Mollie betaalgegevens: volgens Mollie's retentiebeleid (5-7 jaar fiscaal)
8. Rechten van betrokkenen
Verzoeken op grond van AVG art. 15-22 (inzage, correctie, verwijdering, dataportabiliteit, bezwaar) kun je richten aan info@boekhoudbaar.nl. Wij reageren binnen 30 dagen.
Speciaal voor dataportabiliteit: Boekhoudbaar biedt een ingebouwde XAF-export-functie (Auditfile Financieel 3.2) waarmee je op elk moment je complete administratie als gestandaardiseerd XML-bestand kunt downloaden. Deze functie blijft beschikbaar ook na opzegging — Boekhoudbaar kan jouw data dus nooit gijzelen.
9. Datalek-procedure
Bij een vermoed datalek dat persoonsgegevens betreft:
- Wij detecteren via geautomatiseerde monitoring (Sentry, Cloudflare Logs, Brevo bounce-detection)
- Binnen 24 uur: klant per e-mail geïnformeerd over aard, omvang, geraakte data
- Binnen 72 uur: melding aan de Autoriteit Persoonsgegevens conform AVG art. 33 indien er reëel risico is
- Forensisch onderzoek + maatregelen om herhaling te voorkomen
- Volledig rapport beschikbaar voor klant binnen 14 dagen
10. Audits
Verwerkingsverantwoordelijke heeft het recht om eens per 12 maanden een audit uit te voeren op de naleving van deze DPA. Audits worden minimaal 30 dagen vooraf aangekondigd. Op verzoek kunnen wij in plaats daarvan een onafhankelijk certificeringsrapport overleggen (bijv. ISO 27001-statement van sub-verwerkers).
11. Beëindiging
Bij beëindiging van het gebruik van Boekhoudbaar:
- Jij behoudt onverkort toegang tot jouw Google-spreadsheet (in jouw eigen Drive)
- De XAF-export-functie blijft beschikbaar; je kunt op elk moment alles exporteren
- Wij verwijderen jouw licentiegegevens van onze servers na 7 jaar (fiscale bewaarplicht)
- Support-correspondentie wordt verwijderd na 24 maanden
12. Geschillen en toepasselijk recht
Op deze verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Utrecht, tenzij dwingend recht anders voorschrijft.
13. Wijzigingen
Wijzigingen op deze DPA worden minimaal 30 dagen vooraf aangekondigd via e-mail. Bij wezenlijke wijzigingen (bv. toevoeging sub-verwerker met afwijkende garanties) heb je het recht om de overeenkomst kosteloos te beëindigen.
- 1.0 — mei 2026: eerste publicatie
Contact
Vragen over deze DPA? Mail info@boekhoudbaar.nl. Voor bredere privacy-informatie zie de privacyverklaring.